Présentation de l'administration déléguée de ZFS

Cette fonction vous permet de distribuer des droits précis à des utilisateurs ou des groupes spécifiques, voire à tous les utilisateurs. Deux types de droits délégués sont pris en charge :

• Des droits individuels peuvent être explicitement spécifiés, notamment de création (create), de destruction (destroy), de montage (mount), d'instantané (snapshot), etc.

• Des groupes de droits appelés jeux de droits peuvent être définis. Tout utilisateur d'un jeu de droits est automatiquement affecté par les modifications apportées à celui-ci dans le cadre d'une mis à jour. Les jeux de droits commencent par le symbole @ et sont limités à 64 caractères. Les caractères suivant le caractère @ dans le nom de jeu ont les mêmes restrictions que ceux des noms de systèmes de fichiers ZFS standard.

L'administration déléguée de ZFS offre des fonctions similaires au modèle de sécurité RBAC. Cette fonctionnalité offre les avantages suivants pour la gestion des pools de stockage et systèmes de fichiers ZFS :

• Les droits sont transférés avec le pool de stockage ZFS lorsque celui-ci est migré.

• Offre un héritage dynamique vous permettant de contrôler la propagation des droits dans les systèmes de fichiers.

• Peut être configuré de manière à ce que seul le créateur d'un système de fichiers puisse détruire celui-ci.

• Les droits peuvent être distribués à des systèmes de fichiers spécifiques. Tout nouveau système de fichiers peut automatiquement récupérer des droits.

• Simplifie l'administration de systèmes de fichiers en réseau (NFS, Network File System). Un utilisateur disposant de droits explicites peut par exemple créer un instantané sur un système NFS dans le répertoire .zfs/snapshot approprié.

Considérez l'utilisation de l'administration déléguée pour la répartition des tâches ZFS. Pour plus d'informations sur l'utilisation de RBAC pour gérer les tâches d'administration générales de Solaris, reportez-vous à Partie III, Roles, Rights Profiles, and Privileges du System Administration Guide: Security Services (en anglais).

Désactivation des droits délégués de ZFS

La propriété delegation du pool permet de contrôler les fonctions d'administration déléguées. Par exemple :

# zpool get delegation users
NAME  PROPERTY    VALUE       SOURCE
users  delegation  on          default
# zpool set delegation=off users
# zpool get delegation users
NAME  PROPERTY    VALUE       SOURCE
users  delegation  off         local

Par défaut, la propriété delegation est activée.